El Sistema RSA. José de Jesús Ángel Ángel

Transcripción

1 José de Jesús Ángel Ángel

2 El Sistema RSA José de Jesús Ángel 1 Introducción Desde su aparición en 1978 ([54]) el sistema de llave pública RSA (de Rivest,Shamir y Adleman) ha ganado gran popularidad, por una parte por la gran seguridad que ofrece al basar ésta en un problema matemático difícil de resolver que había dejado de tener interés en la comunidad mundial, cómo lo es el Problema de la Factorización Entera PFE y a causa del sistema RSA se ha retomado e incrementado su investigación. Por otra parte, aunque implementar RSA requiere de mucho cuidado en detalles que son necesarios, la idea de su funcionamiento es muy simple de entender, lo que lo hace muy popular principalmente en sectores donde no hay abundancia de matemáticas. Este artículo está dedicado a resumir los últimos resultados paso a paso sobre la implementación del sistema RSA, principalmente en lo que se refiere a su seguridad y más concretamente en los puntos de mayor debilidad del sistema, éstos están resumidos en lo que llamamos resultados, que se reescriben en la última parte del artículo. Respecto a la implementación de las técnicas de realizar aritmética con números de múltiple precisión o longitud "grande", se requiere de mayor espacio, aunque se dan las referencias necesarias para abordar con seriedad el tema. El algoritmo RSA es usado esencialmente en: a) Generación de llaves RSA b) Cifrado del texo original c) Descifrado del texto cifrado Algoritmo RSA de llave pública l.a) Generar dos primos p,q 2.a) Calcular 3.a) Elegir un entero 4.a) Calcular 5.a) La llave pública es y la llave privada ( ) 6.b) El usuario A calcula 7.b) A envía el mensaje cifrado c al destinatario B con la llave pública 8.c) B recobra el mensaje con la fórmula con la llave privada Otra importante aplicación es la "Firma Digital" que consiste en lo siguiente: 1

3 Algoritmo de Firma Digital A) Si el usuario B quiere firmar el mensaje, se procede a calcular donde es la llave privada de B B) Para verificar la firma de B al mensaje, se procede como sigue: s es la firma de B Enseguida revisaremos temas relacionados con cada uno de los anteriores puntos y justificaremos de forma simple algunos de ellos, o en caso de que sea de mayor tratamiento, damos las referencias. 2 El tamaño de la llave pública n Si podemos factorizar al número, entonces podemos conocer a, y por lo tanto calcular a a partir de, es decir, romperemos el sistema. El problema de calcular a y factorizar a son computacionalmente equivalentes, la elección de y debe ser de tal forma que la factorización de sea computacionalmente "imposible". A continuación procedemos a encontrar el tamaño de los números primos,, para lograr el objetivo. Si entonces esta en el extremo de ser fácilmente factorizable, es decir, esta en la forma más simple de poder ser factorizable ya que tiene muchos factores y estos son del menor tamaño posible. Entonces si tiene un mínimo de factores y tales factores son grandes, posiblemente estará en el otro extremo, el de ser "imposible" su factorización. Es decir si donde y son números primos y de considerable tamaño, entonces la factorización de debe ser difícil. A continuación veremos que los números producto de dos primos son de los más difíciles de factorizar. 2.1 Criterios de factorización Una forma de clasificar a los métodos de factorización es en dos grupos: 1. Los métodos de "propósito especial", quienes buscan propiedades especiales a los factores de y 2. Los métodos de "propósito general" que dependen sólo del tamaño de. Entre los métodos de "propósito especial" están: - El método del ensaño de divisores pequeños (conocido por la criba de Eratosthenes) 2

4 - El algoritmo de Pollard ([46]) - El método que usa curvas elípticas (MCE) ([36]) - Criba de campos numéricos especial (CCNE) ([33], [34]) Entre los métodos de "propósito general" están - Criba cuadrática ([21], [33], [49]) - Criba de campos numéricos general (CCNG) ([33]) En general no existe una forma eficiente de factorizar a un número entero si no se conoce nada acerca de él, ya que algunos métodos son más eficientes en algunos casos que en otros, sin embargo podemos dar una estrategia para poder intentar factorizar un número entero : - Aplicar el método de ensañar divisores pequeños, hasta una cota - Aplicar el algoritmo de Pollard, esperando encontrar un factor, tal que donde es otra cota - Aplicar el método con curvas elípticas, esperando encontrar un factor tal que - Aplicar un método de propósito general Con lo que esperamos optimizar el proceso de factorizar, aplicando el mejor método conforme a la forma del número. Si ya se conoce una estrategia para factorizar al número entero, el parámetro más importante es el tiempo que tomará para lograr el objetivo. Enseguida procedemos a explicar una forma simple de medir el tiempo. 3

5 2.2 Cómo medir el tiempo en factorizar números enteros La práctica ha permitido llegar a medir algunos algoritmos con la siguiente cota: donde podemos suponer que la función como cota superior a considerar es: donde es una constante, el tamaño del número, un número tal que y determina la "lentitud" del algoritmo en el sentido de que si, entonces se convierte a, y si, entonces, cuyos comportamientos los podemos apreciar en las siguientes gráficas. Esta gráfica es de la función: 4

6 Esta gráfica es de la función: 5

7 Si tenemos un algoritmo que corre a un tiempo de polinomial, si el algoritmo tiene una complejidad de diremos que corre en tiempo, entonces diremos que corre a un tiempo exponencial, y si subexponencial., diremos que el algoritmo corre a un tiempo Ejemplos del tiempo que corren algunos algoritmos conocidos son: Algoritmo: Criba de campos numéricos general Tiempo: Algoritmo: Criba de campos numéricos especial Tiempo: Algoritmo: Criba cuadrática Tiempo: Algoritmo : Método de fracciones continuas Tiempo:, donde Algoritmo : Método de Factorización con Curvas Elípticas Tiempo:, para encontrar el factor y si, el tiempo es Tiempo de factorización en la práctica Hoy en día, parece ser que el problema de factorización ha progresado enormemente, este gran impulso lo ha provocado en gran parte la criptografía y más concretamente el sistema RSA. Enseguida nos proponemos a dar los datos que se tienen del crecimiento sobre la factorización de números enteros y estimar cual sería el tiempo en que se tardará la humanidad en factorizar un número entero considerado hoy imposible de factorizar. Aunque se muestre que un algoritmo corre a tiempo subexponencial o más aún a tiempo polinomial, el tiempo de calendario (tiempo real en meses, días o minutos) puede variar mucho dependiendo de la entrada del algoritmo y del equipo de cómputo con que se cuenta. Existe una forma de medir el potencial de cómputo y de esta forma determinar cuál sería el tiempo en calendario que llevaría factorizar un número entero "grande" y cuándo podría llevarse a cabo esto. 6

8 La notación "mips" significa millones de instrucciones por segundo ([43]) y es tomada como medida estándar para registrar la potencia de cómputo con que se cuenta. Un mips tiene como origen la potencia de cómputo que realizaba una DEC VAX 11/780. Un mipsy significa el número de instrucciones que se pueden realizar en un año con un poder de cómputo de un mips, es decir x instrucciones. Algunos datos interesantes son los mips que han sido utilizados para factorizar algunos números enteros. Año mipsy Longitud d d d Tabla 1 donde nd significa un número entero de d dígitos. La primera estimación que haremos es sobre el poder de cómputo que se puede conseguir en todo el mundo, el cual se estima que en 1994 era de 3x mipsy, de los cuales un 10% estaba conectado a Internet y como se puede observar en la tabla 1 se utilizo un % total para factorizar un número de 129d. Se estimó poder reunir 100 veces más poder de cómputo, es decir, usar un 0.33% del total en un trabajo de factorización. Hagamos una estimación del poder disponible estimado en todo el mundo usando la predicción conocida por "ley de Moore". Gordon Moore co-fundador de Intel, predice en 1965 que la rapidez con que crecen los microprocesadores se duplica en 18 meses. Es decir, si en 1994 el poder de cómputo en el mundo era de 3x mips, entonces en 3 años (1997) seria de 1.2x mips, lo cual no está muy lejos de la realidad. 7

9 En la siguiente tabla mostramos la estimación de los próximos años: Año mipsy x x x x x x x x x10 10 Año mipsy x x x x x x x x x10 13 Año mipsy x x Para poder determinar cuándo se podría contar con el poder necesario para factorizar un número entero de tamaño conocido debemos de saber qué poder de cómputo es necesario utilizar para tal factorización. Esto lo estimaremos de la siguiente manera: partimos de que sabemos cuántos mipsy son utilizados para factorizar un número entero, por ejemplo un número de 129 ~ 429 bits se puede factorizar con 1000 my, entonces para poder factorizar un número de 512 bits necesitaremos de, donde lo obtenemos de la siguiente fórmula: donde es el poder de cómputo requerido para un número de menos bits y son las respectivas complejidades que toma la criba de campos numéricos general, así por ejemplo para saber el poder de cómputo requerido para factorizar un número entero de 512 bits procedemos como sigue: ~ 3 x 8

10 Enseguida mostramos la estimación del poder de cómputo requerido para factorizar un número entero de la longitud respectiva pensando en usar la criba de campos numéricos general, ya que el número entero es aleatorio. Dígitos Bits mipsy Aprox x x 10 3 x x 10 2 x x 10 7 x x x x x x x x x x 10 0 x x x x x x x x x

11 Con estos datos podemos; de un modo más fundamentado, estimar la seguridad de las llaves utilizadas en RSA, es decir, el poder usar una llave de longitud predeterminada sin arriesgar la seguridad, al menos evitando el ataque de la factorización (que es el ataque más seguro conocido hasta hoy). A partir de las observaciones anteriores mostramos en la siguiente tabla el año donde es posible pensar que la longitud de la llave señalada puede ser rota: Año límite Longitud de llave El año límite se refiere al año en donde el sistema debe comenzar a evaluar el cambio de la longitud de la llave a una longitud superior. La anterior estimación no contempla varios aspectos que son muy difíciles de predecir como: el descubrir un método brillante que factorice números enteros en tiempos reducidos y colapsé al sistema RSA, el descubrir un nuevo tipo de tecnología que aumente la rapidez exponencialmente de las computadoras por lo que reduciría a gran escala el tiempo de factorización, u otro suceso que reduzca a gran escala el tiempo de factorización. Es prudente decir que la anterior estimación fue tomada suponiendo que el crecimiento tanto de rapidez de las computadoras como de la eficacia de los algoritmos, se comportará como hasta hoy; que pareciera no ser de otra forma. Así mismo no se considera el descubrimiento de otro ataque a RSA que no tenga que ver con la factorización, pero elimine el interés de su desarrollo así como también factores no previstos. Resultado 1: La longitud de las llaves que se usan en el sistema RSA en el año de 1998, deben de ser de 1024 bits, donde los primos tengan casi la misma longitud, esto proporciona una seguridad de al menos 15 años. 10

12 Lo anterior nos sugiere que todas las etapas del sistema RSA deben de considerar el tamaño de 1024 bits, enseguida damos el detalle de alguna de ellas. 3. Generación de números primos de tamaño 1024 bits Esta parte la dedicaremos a revisar el método que tendrá como salida números primos de una longitud que permita a la llave ser de 1024 bits, de hecho, los mismos algoritmos pueden ser usados para generar primos de mayor longitud con el respectivo gasto de tiempo. Antes de entrar de lleno a la discusión sobre el cómo verificar que un número es primo, hablaremos brevemente de la generación de números pseudoaleatorios, cosa de no menor importancia, ya que de esto dependen fuertemente varios aspectos de seguridad en el sistema Generación de números pseudoaleatorios La principal característica de un número aleatorio, es que su probabilidad de ser elegido es la misma probabilidad que tiene cualquier otro número dentro de un intervalo, además la elección debe ser independiente. Sin embargo, existe una enorme discusión sobre la aleatoriedad real, es decir, cómo podemos estar seguros o cómo se puede demostrar que algún dispositivo es aleatorio, en realidad poco podríamos conseguir si nos restringimos al concepto puro de aleatorio. Aunque gran parte de la probabilidad aplicada está basada en la existencia de eventos aleatorios, por ejemplo, si se quiere encontrar la preferencia de algún producto o partido político se procede a realizar una encuesta, la cual no se realiza a toda la población sino que se elige una muestra de tamaño considerable para que el intervalo de confianza sea satisfactorio, pues bien, la herramienta estadística debe de suponer que la muestra tomada es aleatoria, de otra forma los resultados estarán muy lejos de la realidad, para lo cual existen métodos que permiten acercarse a que la muestra considerada sea lo más aleatoria posible evitando las características más comunes de no aleatoriedad. De esta forma podemos llegar al concepto de pseudoaleatoriedad. Diremos entonces que un dispositivo genera números pseudoaleatorios si en lo posible evita las principales características de no aleatoriedad, por ejemplo, si nuestro dispositivo generara una cadena de 10 dígitos binarios, y en circunstancias normales nos da una salida de a= , entonces podríamos pensar que existe una mayor probabilidad de que el dispositivo genera al 0 que al 1, por lo que tener una mayor cantidad de ceros que de unos ó una mayor cantidad de unos que de ceros será una característica de no aleatoriedad. Se pueden encontrar varias características de éstas y tratar de evitarlas (ver por ejemplo [40]), existe también una prueba que detecta la mayor parte de estas características llamado el método Universal de Maurer [38], una explicación muy entendible de esto se puede encontrar en [3]. La forma práctica de generar números pseudoaleatorios para propósitos criptográficos es la siguiente: podemos decir que tenemos dos etapas y una prueba, las dos etapas consisten en primero generar un primer número pseudoaleatorio que llamaremos semilla y la segunda una cadena de números pseudoaleatorios que provienen de una función de un sólo sentido, en la práctica se usan MD5, SHA-1, la función RSA, etc., la prueba consiste en verificar que la salida del dispositivo sea pseudoaleatoria con una prueba como la de Maurer. 11

13 Como resultado de estas consideraciones podemos concluir lo siguiente: Resultado 2: Para generar la semilla de un dispositivo pseudoaleatorio basado en software se deben de usar eventos que estén muy alejados de la intervención humana; por ejemplo, el sistema de reloj, el teclado, el ratón, el contenido de buffers de entrada y salida, o una combinación de los anteriores. Resultado 3: Para generar la cadena pseudoaleatoria se debe hacer uso de funciones de un sólo sentido como funciones Hash: MD5, SHA-1,, la función RSA, la función logaritmo en curvas elípticas, etc. Resultado 4: Para probar que un dispositivo genera números pseudoaleatorios, éste debe de pasar una prueba que detecte las propiedades más conocidas de no aleatoriedad, por ejemplo la prueba de Maurer Pruebas de primacidad En esta sección hablaremos de la forma para probar que un número de 1024 bits de longitud es primo o compuesto, en el transcurso de las pruebas se efectuarán operaciones sobre números de esta longitud y se entenderá que el problema para efectuar dichas operaciones está solucionado, algunos algoritmos al respecto se pueden encontrar en ([40], [42], [52], [60], [61]). En la literatura sobre el tema existe una gran variedad de términos que se relacionan con números primos, nosotros nos restringimos sólo aquellos que tienen importancia en la criptografía. Comenzaremos a dar los pasos a seguir para probar que un número es primo en los algoritmos criptográficos que hacen uso de ellos ([9], [10]). Prueba de primacidad con propósitos criptográficos Paso 1: Genera un número impar aleatorio Paso 2: Este número se somete a la prueba de la división. Paso 3: Si el número pasa la prueba del paso 2, se somete a una prueba probabilística de primacidad. Paso 4: Si el número pasa la prueba del paso 3, se declara a este número como "primo". Paso 5: Si el número no pasa 3, se considera a + 2, y regresamos al paso 2. Llamaremos a los números que pasan la anterior prueba pseudoprimos. En lo que sigue nos dedicaremos a proporcionar cómo se debe de hacer para que la prueba sea eficiente y confiable. 12

14 Justificación: paso2 Esta prueba consiste en dividir el número entero por números primos pequeños que se mantiene en un arreglo de longitud constante. Primero justificaremos la aplicación de esta prueba. Esta prueba es conocida como la criba de Eratosthenes, que consiste en dividir a por cada número primo menor a, y si resulta que ningún primo de estos es factor de, entonces es primo. Es obvio observar que como es de considerable longitud, entonces esta prueba es inaplicable. Sin embargo probaremos que ayuda considerablemente a la prueba total. Aunque el algoritmo solicita de entrada que el número sea impar, podemos suponer que no lo sabemos, para propósitos de explicación la única característica de m es que es aleatorio. La justificación final se basa en los siguientes hechos: La probabilidad de que un número sea dividido por 2 es de, ya que la mitad de los números menores a son pares y la otra mitad son impares. La probabilidad de que un número sea divido por 3 es de. Otra forma de verlo es que existen 3 clases de equivalencia módulo 3 y la probabilidad de que esté en la clase del cero es. Análogamente la probabilidad de que sea divisible por el número primo es es. De lo anterior podemos observar que si a un número entero aleatorio lo sometemos a la división de 2, hay una posibilidad del 50% que tenga el factor 2, así como una probalbilidad de más del 30% que tenga el factor 3, es decir, que hay una probabilidad de, o el 33.3% que no tenga como factor ni al 2 ni al 3, o dicho de otra forma, que se descarta el 66.7% de los números generados al someterlos por la prueba de la división con los primos 2 y 3, por lo tanto, ya que el gasto en tiempo de cómputo es casi despreciable en la prueba de la división, es muy recomendable esta prueba para aligerar en gran porcentaje el consumo de tiempo con la prueba probabilística de primacidad. 13

15 En el caso concreto de generadores de números aleatorios criptográficos es muy común que el número generado sea impar, por lo tanto, la prueba da comienzo en el 3 en la siguiente tabla. Damos valores de donde es el número de primos con que cuenta la prueba de la división, empezando en 3, y es probabilidad de que no sea divisible por ningún primo entre, es decir: por lo tanto existe un de porcentaje de números aleatorios impares descartados. B r(b) B r(b) B r(b) La forma de poder calcular el mejor, o en su defecto una cota, tal que, la podemos encontrar en [37] y consiste esencialmente en calcular, donde es el tiempo que tarda la máquina con el algoritmo de exponenciación que se usa y es el tiempo en que se tarda la máquina en intentar una división entre y un primo considerado pequeño. Actualmente en la práctica, se usa la tecnología de software y de hardware un entre 1000 y

16 Resultado 5: Es necesario someter a los números aleatorios impares generados en aplicaciones criptográficas (como en el sistema RSA) a la prueba de la división con primos "pequeños", ya que esto permite eliminar entre un 80% y 90% de los números generados y así someter a otras pruebas más lentas un menor número de candidatos a primos. Justificación: paso 3 Después de que un número generado aleatoriamente pasa la prueba de la división con pequeños primos, se le somete a otra prueba más rigurosa, por lo tanto más lenta, sin embargo el candidato ya tiene una ligera aproximación para ser un probable primo. Antes de revisar los algoritmos más conocidos sobre pruebas de primacidad, veamos qué tantos candidatos a primo podemos hechar mano, esto nos permitirá entre otras cosa calcular la probabilidad de eventos que nos son de mucha utilidad. Si la longitud de la llave es de 1024 bits, entonces los números primos deben de ser de 512 bits, es decir, estamos hablando de aproximadamente primos de 154 dígitos del orden de, si suponemos por el teorema del número primo ([39]) que hay x / lnx números primos en [2,x], entonces tenemos aproximadamente (2 512 / ln2 512 ) - (2 508 / ln2 508 ) = 3.54 x números primos de 512b. Para dar una idea del orden que estamos considerando podemos comparar este número con el dato que aparece en [31], donde se estima que el número aproximado de moléculas en todo nuestro universo es de, es decir, estamos hablando de un número que podemos considerar "denso" o "infinito" en la práctica de hoy en día. Por lo tanto, el porcentaje de números primos que tenemos aquí es de (3.54 x 10151) / ( x 10153) = donde x = ( ) / 2,, los números de longitud 512b no considera aquéllos que tienen menos de un dígito hexadecimal (4 bits), además son impares y como un número pseudoprimo. podemos suponer que en 177 intentos encontraremos a 15

17 Sin embargo, ya que el número generado aleatoriamente, además de ser impar, se somete a la prueba de la división por primos pequeños y obtenemos los siguientes resultados: B ~ 1_ N 1_ 32 1_ 28 1_ 24 1_ 22 1_ 21 1_ 21 1_ 20 1_ 19 Si en la tabla de primos pequeños es de 100, sólo hay que probar con la prueba probabilística 32 para poder encontrar un primo, de la misma forma, si en la tabla tenemos 1000 números primos sólo hay que probar a 22 para obtener el primo requerido, por lo que es recomendable elegir una buena cota B para mejorar la eficacia al generar números primos. Una de las partes más sensibles del sistema criptográfico RSA es el algoritmo probabilístico de números primos, de hecho, una buena elección de éste garantiza en gran parte el buen funcionamiento del sistema. En lo siguiente abundaremos particularmente en la prueba de Fermat y la de Miller-Rabin, aunque mencionaremos algunas otras. Tendremos especial atención en justificar que el uso de la prueba de Miller-Rabin con 7 testigos alcanza los niveles comerciales más exigentes de exactitud. Incluso justificaremos que la prueba de Fermat con testigo 2 es aceptable a niveles menos pretenciosos pero de igual forma es considerablemente eficaz y es usado en software libre o de muestra ([27]). 16

18 3.3 Prueba de primacidad de Fermat Quizá la forma más conocida de sospechar que un número es primo, es aplicar la identidad conocida por el Teorema pequeño de Fermat y consiste en la siguiente afirmación: Si es un número primo y entonces, en efecto esto lo cumple cualquier número primo, es decir, si encontramos a un número y un número tal que no cumpla la igualdad, entonces es compuesto, sin embargo, la afirmación recíproca no se cumple, es decir, existen números que cumplen la igualdad y no son primos. En resumen estrictamente hablando, el método de Fermat no da el 100% de certeza para poder encontrar números primos. Uno de los métodos que se ha estudiado ampliamente ha sido el de Fermat, su simplicidad lo justifica y aunque no se recomienda su uso en aplicaciones donde se requiere la mejor exigencia de seguridad, este método es usado en aplicaciones con un mínimo de pretensiones. A pesar de lo anterior en las siguientes líneas damos algunos datos interesantes sobre el mismo. En [53] da a conocer un experimento sobre la generación de números aleatorios y las consecuencias que se obtuvieron al someter a estos números a la prueba de Fermat con testigo 2, en comparación con una prueba teóricamente más fuerte (la de Miller-Rabin), de 718 millones de números aleatorios de 256 bits, pasaron la prueba de la división con primos pequeños con cota. De éstos dieron válida la igualdad de Fermat y aún más, todos los últimos se sometieron a la prueba de Miller-Rabin con 8 iteraciones y ninguno reprobó. Aunque para lo anterior aún no existe una completa justificación, hay varios resultados que apoyan en gran medida los resultados obtenidos. Por ejemplo si un número, cumple la igualdad de Fermat para un dado, siendo compuesto, a se le llama pseudoprimo base. En [47] y [48] se estudia y conjetura que el número de estos pseudoprimos menores a no pasan de la cota, por ejemplo en el caso anterior, en otras palabras hay una probabilidad de de encontrar un pseudoprimo. Además si, entonces la probabilidad de aceptar a un número compuesto como primo converge a cero ([19]), es decir, mientras el número a considerar sea más grande, la probabilidad de falla disminuye. 17

19 Un problema teóricamente más serio son aquellos números que pasan la prueba de Fermat con cualquier testigo a, siendo n compuesto. A esta clase de números se les conoce con el nombre de números de Carmichael, la principal falla que se tiene en criptografía con esta clase de números es que si n fuera de Carmichael sirve para encriptar y desencriptar mensajes, ya que cada operación de este tipo es equivalente a una prueba de Fermat, y por lo tanto tendríamos manejando llaves RSA susceptibles para ser factorizables más fácilmente. Hoy en día se sabe que existe una cantidad infinita de primos de Carmichael, pero además también se sabe que en comparación a los primos, es una cantidad despreciable ([2], [47]). Por otro lado, aunque existen algunas sugerencias para detectar estos números de Carmichael ([45]), la mejor forma de evitarlos es implementar una prueba de primacidad probabilística más dura sin costo de programación considerable como lo es la prueba de Miller-Rabin. Resultado 6: La prueba probabilística de Fermat es muy simple de implementar y la probabilidad de fallar es del orden de en comparación en la generación de primos de tipo RSA actual. Por lo tanto puede ser utilizada en dispositivos donde el costo de riesgo no se considere prioritario como programas de muestra, experimentales, etc., sin embargo en dispositivos que exijan requerimientos de seguridad aceptables para propósitos comerciales, financieros o de seguridad nacional es muy recomendable usar una prueba más dura como la de Miller-Rabin Prueba de primacidad de Miller-Rabin La forma más simple de derivar la prueba de Miller-Rabin a partir de la prueba de Fermat es considerando cómo se efectúa la potencia, es decir, con n - 1 = 2 r s, si ó para algún, entonces Dicho de otra forma si pasa la prueba de Miller-Rabin, pasa la prueba de Fermat, cosa que al contrario no es válida, concretamente a causa de los primos de Carmichael. Sin duda, la prueba de Miller-Rabin es la más popular para generar números primos de gran longitud en los sistemas criptográficos, esto es porque además de que su implementación no requiere de mucho costo, este método proporciona una gran probabilidad de certeza. En [29] se obtiene una cota superior para la probabilidad de que el método confirme a un número como primo siendo éste compuesto, a esta probabilidad de error la denotaremos como P k,t, donde es el número de bits del número que tratamos de probar su primacidad, y es el número de iteraciones que son usadas en el algoritmo de Miller-Rabin para obtener la probabilidad P k,t. Mientras pasa el tiempo estas cotas se han ido mejorando, de tal modo que a partir de la fórmula tomada de [13] 17

20 donde denota el número de primos menores a, la suma es sobre los enteros compuestos y, con el número de números enteros tales que ó para algún siendo, usando que para demostrada en [29] y usando resultados de [13] obtenemos algunos valores de en la siguiente tabla: k\t Donde siendo el valor correspondiente de la tabla. Lo anterior nos lleva a nuestro siguiente resultado: Resultado 7: Para generar números primos de tamaño 512 bits necesarios para generar llaves de 1024 bits, es recomendable usar el algoritmo de Miller-Rabin con 7 iteraciones, ya que por una parte evita los posibles errores sobre números de Carmichael y por otra, la probabilidad de que declare a un número compuesto como primo del orden de 1/ De las pruebas probabilísticas que existen como la de Solovay-Strassen, se ha podido mostrar que el conjunto de primos que pasan la prueba está contenido en el conjunto de primos que pasa la prueba de Miller-Rabin, por lo que es recomendable no usarlas. Por lo que se refiere a las pruebas determinísticas, aunque éstas son más efectivas son mucho más lentas, por lo que sólo con una muy buena y creativa implementación podrían usarse para propósitos criptográficos. 19

21 4. Nota sobre la implementación En los procesos tanto de generación de llaves, encriptamiento y desencriptamiento se realizan operaciones de suma, multiplicación, exponenciación, obtener inversos multiplicativos, etc., esto quiere decir, en términos de implementación y del tamaño de los números de 512 bits al menos, que es necesario diseñar la aritmética para tales números. El primer problema con que nos encontramos es el cómo representar a números tan grandes ya que por ejemplo, la computadora PC actual sólo nos permite manejar números enteros de tamaño de 32 bits. La solución ha sido desarrollada ya desde hace varios años y le nombran números de múltiple precisión o de longitud grande. Actualmente, existen varios métodos que permiten realizar aritmética de múltiple precisión tanto implementados en software como en hardware ([26]), de esto depende en gran parte la rapidez del sistema por lo que es necesario encontrar las mejores formas de efectuar la aritmética de estos números, por ejemplo, se tiene una de las justificaciones que el sistema RSA use como exponente a la constante ya que este número en su representación base 16, que es la más común para este tipo de uso, es 10001, lo que hace que la operación de exponenciación en cada encripción se efectúe lo más rápido posible. Más acerca del tema lo podemos encontrar en Resultado 8: La implementación del sistema RSA debe de hacerse con aritmética de múltiple precisión y usarse los algoritmos más rápidos. 5. PKSC #1 En los puntos anteriores comentamos brevemente el ataque más importante que se tiene en estudio, que es la factorización de números enteros y mencionamos algo muy somero sobre la implementación. Estas quizá sean las partes más estudiadas y desarrolladas en lo que se refiere al sistema RSA, sin embargo, hay mas aspectos importantes que es necesario entender y evitar cuando se requiera implementar el sistema RSA. A lo largo de la existencia dersa se han podido desarrollar una buena cantidad de ataques, algunos son imprácticos, es decir, las condiciones que piden para que puedan ser efectivos en muchos casos no se pueden tener en la realidad, así como también algunas recomendaciones para una buena implementación. La razón del título de esta sección es que el PKSC # l (Public Key Standar Cryptosystems) reúne las reglas que hay que tener en cuenta para que una implementación primero sea inmune a los diferentes ataques a que puede ser objeto, y por otro lado a que las diferentes implementaciones de RSA sean compatibles. Como el PKSC # 1 existen otros estándares ([7], [25]) que vigilan lo mismo, y que pueden ser adoptados con los mismos propósitos. Enseguida mencionaremos algunos de estos puntos. 20

22 5.1 Ataque de Wiener Este ataque debido a Wiener ([64]) muestra cómo recobrar la llave privada a partir de los parámetros públicos y. Este ataque hace uso de fracciones continuas y sólo es eficiente cuando es pequeño en el sentido de que cumple, es decir, si es del orden de 1024 bits, entonces debería de ser menor a, lo que lo hace impráctico para el valor que aquí consideramos. El motivo por el cual este ataque es anulado, es que se debe a que el número sugerido es el número 4 de Fermat denotado por, es decir: En este caso tiene tamaño de 16 bits y como es el número tal que y además tiene tamaño del orden de 1024 bits aproximadamente, entonces tiene tamaño del orden de 1008 bits. Lo que quiere decir que con el exponente sugerido en PKCS #1 se evita este ataque. 5.2 El exponente de encripción e pequeño Este ataque ([24]) hace referencia al tamaño del exponente, éste esencialmente pide que un mensaje sea encriptado con diferentes llaves públicas pero con el mismo exponente, entonces se puede recobrar a usando el Teorema Chino del Residuo, más aún, se puede pedir que los mensajes estén relacionados de alguna forma conocida. Este ataque queda totalmente anulado al aplicar elpkcs #1, ya que éste pide que los bloques de texto original sean ensuciados, es decir, como en general el sistema RSA se usa para encriptar llaves privadas de sistemas como eltripledes o para firmar documentos que antes se les fue aplicada una función Hash (que reduce la longitud del mensaje a una longitud constante). Entonces el mensaje llega a tener alrededor de 160 bits, los restantes bits para completar un bloque que sea el que se encripte y tome el papel de se rellena con bits aleatorios, a este proceso es al que llamaremos ensuciar el mensaje. Otros ataques que piden que el exponente sea pequeño como por ejemplo = 3 han sido publicados, como el de Franklin y Reiter ([20], [11]) sin embargo, también llegan a ser imprácticos ensuciando el mensaje. 21

23 5.3 Un ataque de texto original elegido Si suponemos que un atacante quiere encontrar el contenido de un mensaje encriptado mandado al usuario A, y este usuario pudiera desencriptar mensajes para este atacante, entonces el atacante puede seleccionar un número y calcular y pedir a A, que desencripte este mensaje, o sea que calcule entonces como el atacante puede recuperar fácilmente a. Este ataque es también superado al imponer una estructura a los mensajes que se quieran desencriptar. En el caso del PKCS #1, sería muy difícil que el mensaje tuviera esa estructura, ya que esto significa que el arreglo que representa a tenga 0s exactamente donde dice elpkcs #1, el desarrollo de este tipo de ataques se puede encontrar en ([8], [14], [18]). 5.4 Ataque de la superencripción No es muy difícil ver que si tenemos un texto encriptado lo podemos considerar como un elemento de ya que con gran probabilidad. Por lo tanto debe existir un número, tal que, es decir, sin embargo, esto es impráctico, más aún es equivalente a factorizar que el encontrar es encontrar el orden de que a su vez es lo mismo que factorizar al número, por lo que no es un ataque viable Los primos p,q muy cercanos Otra forma de pretender romper el sistema RSA, es tratar de factorizar a la llave pública extrayendo la raíz cuadrada de y enseñar como posibles factores primos a los primos cerca de la raíz. Es claro que esto sólo es efectivo si los factores primos de estuvieran cerca, es decir, fuera pequeño. No es difícil probar que si el sistema RSA genera a los números primos aleatoriamente, la probabilidad de que esto suceda es despreciable para propósitos criptográficos, concretamente: para que pudiéramos considerar viable este tipo de ataque sería necesario que fuera mucho menor que esto con el fin de compararlo con la complejidad de la criba de Eratosthenes, ya que y como la 22

24 probabilidad de que al menos dos números tengan la mitad de bits iguales es de. Entonces el ataque es efectivo con una probabilidad de con mucho mayor a 512, lo que hace al ataque no viable. 6.- Si el tamaño del texto original es pequeño Una posibilidad más que se tiene para romper el sistema es si consideran mensajes de encripción pequeños, es decir, si Aunque esto también se puede tener cuando el mensaje sea pequeño y el exponente grande, pero por rapidez de la implementación se requiere que sea pequeño, entonces esto lo tenemos solo cuando es pequeño. Este ataque se efectúa simplemente extrayendo la raíz e-ésima. De la misma forma es evitado cuando ensuciamos el mensaje. Resultado 9: Una gran parte de ataques y recomendaciones de implementación al sistema RSAson evitados y adaptadas respectivamente al asumir un estándar de implementación como el PKCS #1. 7 Los primos duros Por último hablaremos de los llamados primos duros y su utilidad en el sistema RSA. Un primo es duro si tiene un factor primo grande, que tenga un factor primo grande y que tenga un factor primo grande, para propósitos criptográficos podemos considerar que un primo grande es de alrededor de 100 bits. El solicitar que los primos para el RSA sean duros, pretende evitar que el producto pueda ser factorizado por métodos que piden factores pequeños en y, como el método de Pollar y Williams, sin embargo, primos duros no evitan el Método con Curvas Elípticas el cual se considera que éste puede ser limitado su éxito con la longitud de los primos grandes y su aleatoriedad. Respecto a los primos duros existen dos opiniones que no difieren considerablemente para propósitos criptográficos. La primera que sustenta RSA Data Security es que no son necesarios los primos duros ([4]), ya que éstos no evitan el MCE, y el considerar a primos grandes y aleatorios evita en la mayoría de métodos sobre factorización más potentes y por lo tanto en gran probabilidad a los métodos de Pollar y Williams. La segunda opinión es que en efecto, los argumentos de la primera opinión son acertados sin embargo el añadir condiciones a la generación de los primos para que éstos sean duros no ofrece ninguna dificultad ni tiempo extra considerable ([23], [58]), así que es sugerida la utilización de primos duros. 23

25 7 Notas finales Para terminar este artículo comentaremos otros aspectos importantes sobre el sistema RSA. El sistema RSA ha sido uno de los más estudiados hasta el momento y por lo tanto se considera que es uno de los más seguros, ya que ha podido superar todo tipo de controversia, así que es por hoy uno de los sistemas criptográficos de llave pública más usados en la industria, en el comercio, en los gobiernos, en la milicia y en general en toda actividad que requiera que su información tenga un alto grado de seguridad criptográfica. Es bueno decir que hasta hoy se han desarrollado una gran cantidad de sistemas de llave pública con el fin de substituir, generalizar o simplemente competir con RSA, sólo que no han tenido gran éxito, en principio deben de pasar un riguroso criptoanálisis por parte de la comunidad criptográfica y después se someten a la competencia comercial, la prueba es en general proporcionar al menos la misma seguridad de los sistemas existentes con al menos la misma facilidad de implementación y después que basen su seguridad en problemas muy duros. Hasta hoy solo los sistemas basados en el Problema del Logaritmo Discreto Elíptico (PLDE) ( han podido competir exitosamente con el sistema RSA, incluso son más prometedores que RSA ya que con sólo llaves de 160 bits proporcionan la misma seguridad que RSA. Existe otro tipo de sistemas que basan su seguridad en el PFE, sin embargo, se ha demostrado que son equivalentes a RSA por lo que se desechan, es decir, necesitan la misma o mayor longitud de las llaves que RSA. En el sitio de la compañía RSA [56] se puede encontrar buena parte de información sobre la actualización del sistema, así como otro tipo de información relevante. Es importante mencionar que actualmente se esta actualizando el PKCS #1, y se espera a fin de año tener el documento nuevo. Esperamos que en este documento se encuentre información valiosa que pueda fundamentar algunas de las características importantes del sistema RSA que son dadas por obvias en otros documentos. Resumimos y finalizamos con una bibliografía que no pretende ser completa pero si es suficiente para justificar aquellos resultados que se mencionaron a lo largo del artículo. 24

26 Resultados Resultado 1: La longitud de las llaves que se usan en el sistema RSA, en el año de 1998, deben de ser de 1024 bits, donde los primos tengan casi la misma longitud, esto proporciona una seguridad de al menos 15 años. Resultado 2: Para generar la semilla de un dispositivo pseudoaleatorio basado en software se deben de usar eventos que estén muy alejados de la intervención humana, por ejemplo, el sistema de reloj, el teclado, el ratón, el contenido de buffers de entrada y salida, o una combinación de los anteriores. Resultado 3: Para generar la cadena pseudoaleatoria se debe de hacer uso de funciones de un solo sentido como las funciones Hash: MD5, SHA-1,..., la función RSA, la función logaritmo en curvas elípticas, etc. Resultado 4: Para probar que un dispositivo genera números pseudoaleatorios, éste debe de pasar una prueba que detecte las propiedades más conocidas de no aleatoriedad, por ejemplo la prueba de Maurer. Resultado 5: Es necesario someter a los números aleatorios impares generados en aplicaciones criptográficas (como en el sistema RSA) a la prueba de la división con primos "pequeños", ya que esto permite eliminar entre un 80% y 90% de los números generados y así someter a otras pruebas más lentas un menor número de candidatos a primo. Resultado 6: La prueba probabilística de Fermat es muy simple de implementar y la probabilidad de fallar es del orden de en la generación de primos de tipo RSA actual. Por lo tanto puede ser utilizada en dispositivos donde el costo de riesgo no se considere prioritario, como programas de muestra, experimentales, etc., sin embargo en dispositivos que exijan requerimientos de seguridad aceptables para propósitos comerciales, financieros o de seguridad nacional es muy recomendable usar una prueba más dura como la de Miller- Rabin. Resultado 7: Para generar números primos de tamaño 512 bits necesarios para generar llaves de 1024 bits, es recomendable usar el algoritmo de Miller-Rabin con 7 iteraciones ya que por una parte evita los posibles errores sobre números de Carmichael y por otro la probabilidad de que declare a un número compuesto como primo es del orden de 1/2 100 Resultado 8: La implementación del sistema RSA debe de hacerse con aritmética de múltiple precisión y usar algoritmos más rápidos. Resultado 9: Una gran parte de ataques y recomendaciones de implementación al sistema RSA son evitados y adaptados respectivamente, al asumir un estándar de implementación como el PKCS #1, en su última versión. 25

27 Bibliografía 1 W. Alexi, B. Chor, O. Goldreich, C. P. Schonorr, RSA and RABIN Functions: Certain Parts are as Hard as the Whole, SIAM J. Comput. Vol. 17 No. 2, pp , W.R. Alford, A. Granville, C. Pomerance, There are Infinitely Many Carmichael Numbers, Annals of Mathematics Vol, 140, pp , J.J. Angel A., Generación de Números Pseudoaleatorios usados en Sistemas Criptográficos, CryptoNotas Vol. 1, No. 1, An RSA Laboratories Seminar, RSA Key Generation and Strong Primes RSA Laboratories, RSA Data Security, Inc., 100 Marine Parkway City, CA 94065, F. Arnault, Rabin-Miller Primality Test: Composite Numbers Which Pass It, Mathematics of Computation Vol. 64, No. 209, pp , D. Atkins, M.GraA; A.K. Lenstra, P.C. Leyland, The Magic Words are Squeamish Ossifrage, Adv. in Crypto. ASIACRYPT94, LNCS 917, pp , M. Bellare, P. Rowaway, Optimal Asymetric Encryption, Adv. in Crypto, EUROCRYPT94, pp , D. Bleichenbacher, M.Joye, J. Quisquater, A New and Optimal Chosen-Message Attack on RSA-Type Cryptosystems, Information and Communications Security, LNCS 1334, pp, , J. Brandt, I. Damgard, On the Generation of Problable Primes by Incremental Search, Adv, in Crypto. CRYPTO92, LNCS 740, pp J. Brandt, I. Damgard, P. Landrock, Speeding up Prime Number Generation, Adv, in Crypto. ASL4CRYPP91, LNCS 739, pp , D. Coppersmith, M. Franklin, J. Patarin, M. Reiter, Low-Exponent RSA with Related Messages, Adv. in Crypto. EUROCRFPP96, LNCS 1070, pp, 1-9, J. Cowie, B. Dodson, R.M. Elkenbracht-Huizing, A.K. Lenstra, P. L. Montgomery, J. Zayer, A World Wide Number Field Sieve Factoring Record: On to 512 Bits, Adv. in Crypto. ASIACRYPP96, pp , I. Damgárd, P. Landrock, C. Pomerance, Average Case Error Kstimates for the Strong Problable Prime Test, Mathematics of Computation Vol. 61, No. 203, pp ,

28 14 G.I. Davida, Chosen Signature Cryptanalysis of the RSA Public Key Cryptosystem, Thechnical Report TR-CS-82-2, Department of Electrical Engineering and Computer Science, University of Wisconsin, Mitwaukee, 87, J.M. DeLaurentis, A Further Weakness in the Common Modulus Protocol for the RSA Crypto Algorithm, Cryptologia Vol. 8, pp , D.E. Denning, Digital Signatures with RSA and others Public-Key Cryptosystems, Communications of the ACM Vol. 27, pp , T. Denny, B. Dodson, A,K. Lenstra, M.S. Manasse, On the Factorization of RSA-120, Adv, in Crypto. CRYPTO93, LNCS 773, pp , Y. Desmedt, A.M. Odlyzko, A Chosen Text Attack on the RSA Cryptosystem and Some Discrete Logarithm Schemes, Adv. in Crypto. CREPO85, LNCS 218, pp , P. Erdos, C. Pomerance, On The Number of False Witnesses for a Composite Number, Mathematical of Computation Vol. 46, No. 173, pp , M.Franklin, M.Reiter, A Linear Protocol Failure for RSA with Exponent Three, Rump Session of Crypto95, Santa Barbara, CA. 21 J. Gerver, Factoring Large Numbers with a Quadratic Sieve, Mathematics of Computation, Vol. 41, pp , J.S. Greenfield, Distributed Programming Paradigms with Cryptography Applications, LNCS 970, J. Gordon, Strong Primes are Easy to Find, Adv. in Crypto. EUROCRFPT84, LNCS 209, pp , J. Hastad, Solving Simultaneous Modular Equations of Low Degree, SL4M Journal on Computing, 17(2) pp , ISO/IEC, International Standar 9796: Information Technology, Security Techniques: Digital Signature Scheme Giving Message Recovery, K. Iwamura, T. Matsumoto, H. Imai, High-speed Implementation Methods for RSA Scheme, Adv. in Crypto. EUROCRYPT92, I.NCS 658, pp B.S. Kaliski, How RSAs Toolkits Generate Primes, Tech. Report , RSA Laboratories, Aedwood City, CA B.S. Kaliski, M. Robshaw, The Secure Use of RSA, CryptoBytes Vol. 1, No. 3, 1995, pp

29 29 S.H. Kim, C. Pomerance, The Probability that a Random Probable Prime is Composite, Mathematics of Computation Vol, 53, No. 188, pp , N. Koblitz, A Course in Number Theory and Cryptography, Springer Verlag GTM l l4, C.K. Koc, High Speed RSA Implementation, RSA Laboratories, RSA Data Security, Inc., 100 Marine Parkway City, CA 94065, P.C. Kocher, Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Others Systems, Adv. in Crypto. CRYPTO96, LNCS l l09, pp , Mathematics of Computation Vol. 53, No. 1SS, pp , A.K. Lenstra, H.W. Lenstra Jr., (eds.) The Development of the Number Field Sieve, LNM 1554, Springer Verlag, Berlin, A.K. Lenstra, H.W. Lenstra Jr., M.S. Manasse, J.M. Pollar, The Factorization of the Ninth Fermat Number, Mathematics of Computations Vol. 61, pp , H.W. Lenstra Jr., C. Pomerance, A Rigorous Time Bound for Factoring Integers, Journal of the American Mathematical Society, Vol. 5, pp , H.W. Lenstra Jr., Factoring Integers with Elliptic Curves, Ann. ofmath. Vol. 126, pp U.M. Maurer, Fast Generation of Secure RSA-Muduli with Almost Maxima Diversity, Adv. in Crypto, EUROCAYPT89, pp , U.M. Maurer, A UniveRSAl Statistical Test for Random Bit Generators, Adv. in Cryp. CRIPTO90 LNCS 537, pp , G.L. Miller, Riemanns Hypothesis and Tests for Primality, Journal of Computer and Systems Sciences Vol.13 pp , A.J. Menezes, P.C. van Oorschot, S.A. Vanstone, Handbook of Applied Cryptography, CRC Press, Inc.Boca Raton Florida C. Mitchell, A. Selby, Algorithms for Software Implementation of RSA, IEE Procrrdings, Vol. 136 No.3, L. Monier, Evaluation and Comparison of Two Kfficient Probabilistic Primality Testing Algorithms, Theoretical Computer Science Vol. 12, pp , A.M. Odlyzko, The Future of Integer Factorization, July 11, A.M. Odlyzko, On the Complexity of Computing Discrete Logarithms and Faetoring Integers, Bell Laboratories, Murray Hill, New Jersey